8 O 212/23

Leitsatz: 1. Ein nicht auf die konkrete Verletzungsform bezogener Unterlassungsantrag, der an unbestimmte und auslegungsbedürftige Begriffe wie die Frage, was Stand der Technik ist, anknüpft, genügt nicht den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO und ist unzulässig.(Rn.49) Eine auslegungsbedürftige Antragsformulierung ist nicht zur Gewährleistung effektiven Rechtsschutzes hinzunehmen, wenn die Klagepartei sich mit der Formulierung des Klageantrags an der konkreten Verletzungsform orientieren könnte, ohne dass für sie damit ein effektiver Rechtsschutz gefährdet wäre (Anschluss BGH, Urteil vom 6. Oktober 2011 - I ZR 54/10 und BGH, Urteil vom 2. Juni 2022 - I ZR 140/15 und BGH, Urteil vom 9. September 2021 - I ZR 113/20).(Rn.50) 2. Mit dem pauschalen und keinerlei Details enthaltenden Vortrag, dass durch sie vorgenommene Untersuchungen ergeben hätten, dass weit weniger Datensätze vom API-Bug 2021 betroffen gewesen seien, als von der Website „haveibeenpwned.com“ dargestellt, und dass insbesondere der Twitter-Account der Klagepartei hiervon nicht betroffen gewesen sei, genügt die Beklagtenpartei der sie treffenden sekundären Darlegungslast nicht, wenn die Klagepartei zuvor aufgrund der auf einem Datenabgleich mit inkriminierten Datensätzen beruhenden Auskunft der Webseite „haveibeenpwned.com“ hinreichende Anhaltspunkte für eine eigene Betroffenheit von einem unstreitig grundsätzlich stattgefundenen API-Bug bei der Beklagten vorgetragen und nachgewiesen hat.(Rn.60) 3. Der Verlust über die Kontrolle von Daten allein ist nicht bereits ein immaterieller Schaden im Sinne des Art. 82 DS-GVO.(Rn.88) Hinzukommen muss die Angst vor einer missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte, wobei das Gericht zu prüfen hat, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (Anschluss EuGH, Urteil vom 14. Dezember 2023 - C-340/21).(Rn.87) 4. Allein in dem vermehrten Aufkommen an Spam-E-Mails liegt kein Schaden im Sinne des Art. 82 DS-GVO, wenn sich die Beeinträchtigungen in einer Verärgerung über den Mehraufwand für das Aussortieren unerwünschten Spam-E-Mails erschöpft.(Rn.91) 5. Ein Unterlassungsantrag, der den Datenverarbeiter zukünftig verpflichtet, die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, ist unbegründet, weil Art. 32 DS-GVO nur einen Anspruch auf ein angemessenes Schutzniveau gewährt.(Rn.106) 6. Der Auskunftsanspruch aus Art. 15 DS-GVO ist erfüllt, wenn der Verantwortliche die verlangten Informationen nach Maßgabe der Norm erteilt und eine Kopie der personenbezogenen Daten, die er verarbeitet, zur Verfügung stellt. Eine etwaige inhaltliche Unrichtigkeit oder Unvollständigkeit steht der Erfüllung nicht entgegen, wenn der Verantwortliche erklärt, dass die Auskunft vollständig ist (Anschluss BGH, Urteil vom 3. September 2020 - III ZR 136/18).(Rn.112) 1. Die Beklagte wird verurteilt, an die Klagepartei immateriellen Schadensersatz in Höhe von 100 € nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz der EZB seit dem 25.7.2023 zu zahlen. 2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klagepartei alle materiellen künftigen Schäden zu ersetzen, die der Klagepartei durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden. 3. Die Beklagte wird verurteilt, die Klagepartei von vorgerichtlichen Rechtsanwaltskosten in Höhe von 220,27 € freizustellen. 4. Im Übrigen wird die Klage abgewiesen. 5. Von den Kosten des Rechtsstreits tragen die Klagepartei 92 % Prozent und die Beklagte 8 % Prozent. 6. Das Urteil ist vorläufig vollstreckbar. Der jeweilige Vollstreckungsschuldner kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Beschluss Der Streitwert wird auf 8.000,00 EUR festgesetzt. - Klageantrag Ziffer 1: 3.000 €. - Klageantrag Ziffer 2: 2.000,- € - Klageantrag Ziffer 3 (Feststellung): 500 €, (vgl. OLG Karlsruhe, Beschluss vom 5. Juli 2023 – 10 W 5/23 –, Rn. 15, juris sowie Beschluss vom 21.11.2023 – 13 W 91/23 unter Ziff. 2). - Klageantrag Ziffer 4 (Unterlassung) 2.000,- € (vgl. OLG Karlsruhe 10 W 5/23 Randnummer 16, 13 W 91/23 unter Ziff. 3). - Klageantrag Ziffer 5 (Auskunft) bewertet das Gericht mit 500 € (vgl. OLG Karlsruhe, 10 W 5/23 Randnummer 17; 13 W 91/23 unter Ziff. 4.) Die Klage ist hinsichtlich des Klageantrags Ziff. 4 unzulässig, im Übrigen zulässig aber nur teilweise erfolgreich. Die Klagepartei hat einen Anspruch auf immateriellen Schadensersatz in Höhe von 100 €, auf Feststellung des Ersatzanspruchs hinsichtlich zukünftiger materieller Schäden, sowie – nur anteilig – auf Freistellung von vorgerichtlichen Rechtsanwaltskosten. Hinsichtlich weitergehender Ansprüche ist die Klage abzuweisen. A. Zulässigkeit Die Klage ist mit Ausnahme Klageantrag 4 zulässig. I. Zuständigkeit Das Landgericht Freiburg ist für sämtliche Anträge international und örtlich und sachlich zuständig. 1. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 79 Abs. 2 S. 2 DSGVO, der die Vorschriften der EuGVVO verdrängt (Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 8: Rechtsbehelfe, Haftung und Sanktionen Rn. 29, beck-online; Sydow/Marsch DSGVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 79 Rn. 33). Danach können Klagen gegen einen Verantwortlichen – von gewissen hier nicht relevanten Ausnahmen abgesehen – wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Die Klagepartei hat ihren Wohnsitz in der Bundesrepublik Deutschland und im Bezirk des Landgerichts Freiburg. 2. Das Landgericht Freiburg ist gemäß §§ 23, 71 GVG auch sachlich zuständig, weil der Zuständigkeitsstreitwert 5.000,00 € überschreitet. Die örtliche Zuständigkeit folgt aus § 44 Abs. 1 S. 2 BDSG. Demnach können Klagen gegen einen Verantwortlichen an dem Ort erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Die Klagepartei hat ihren gewöhnlichen Aufenthaltsort durch ihren Wohnsitz im Bezirk des Landgerichts Freiburg, § 7 BGB. II. Klageanträge Ziffer 1 und 2 (Schadenersatz) Die Klageanträge Ziffer 1 und Ziffer 2 sind hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Die Bemessung des immateriellen Schadenersatzes stellt die Klagepartei zulässig in das Ermessen des Gerichts. Der unbezifferte Klageantrag ist zulässig, wenn statt der Bezifferung mindestens die Größenordnung des Betrags, den der Kläger sich vorstellt, angegeben wird (h.M., vgl. MüKoZPO/Becker-Eberhard, 6. Aufl. 2020, ZPO § 253 Rn. 121). Dem ist die Klagepartei nachgekommen, indem sie in Klageantrag Ziffer 1 einen Mindestbetrag in Höhe von 3.000 € und im Klageantrag Ziff. 2 einen solchen von 2.000,- € genannt hat. Es liegt auch keine unzulässige alternative Klagehäufung vor (vgl. hierzu nur OLG Stuttgart, Urteil vom 22.11.2023 4 U 20/23 – juris – Rdnr. 230). III. Klageantrag Ziffer 3 (Feststellung) Der Feststellungsantrag ist zulässig. Das erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt entgegen der Auffassung der Beklagtenpartei vor. Ein Feststellungsantrag ist bereits dann zulässig, wenn die Schadensentwicklung noch nicht gänzlich abgeschlossen und der Kläger aus diesem Grund nicht im Stande ist, seinen Anspruch deshalb ganz oder teilweise zu beziffern (OLG Hamm, Urteil vom 21.05.2019 – 9 U 56/18). Das Feststellungsinteresse ist daher nur dann zu verneinen, wenn aus der Sicht des Geschädigten keinerlei Besorgnis besteht, zumindest mit dem Eintritt eines Schadens zu rechnen (BGH, Beschluss vom 09.01.2007 –VI ZR 133/06), einer überwiegenden Wahrscheinlichkeit hierfür bedarf es nicht. Ausgehend vom Vortrag der Klagepartei (vgl. zur Betroffenheit der Klagepartei überhaupt nachfolgend B.I.) sind die mit seiner Twitter-ID verknüpften Daten (E-Mail-Adresse und Handynummer) noch im Darknet abrufbar. Wer bereits in der Vergangenheit darauf zugegriffen hat und dies ggfs. in Zukunft noch in missbräuchlicher Weise tun wird, liegt völlig im Dunkeln. Dabei kann auch nicht ausgeschlossen werden, dass der Klagepartei bereits ein Schaden zugefügt wurde, von dem sie bislang nur noch keine Kenntnis hat. IV. Klageantrag Ziffer 4 (Unterlassung) Klageantrag Ziffer 4, mit dem die Klagepartei der Beklagten verbieten lassen möchte, bestimmte, im Einzelnen genannte personenbezogene Daten von ihr über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, ist nicht ausreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO und damit als unzulässig abzuweisen. 1. Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagte verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Eine hinreichende Bestimmtheit ist für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (st. Rspr; vgl. nur BGH GRUR 2021, 746 Rn. 17 = WRP 2021, 604 – Dr. Z, mwN). Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen. Die Bejahung der Bestimmtheit und die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist in solchen Fällen nur dann zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH GRUR 2021, 1425 Rn. 12 = WRP 2021, 1437 – Vertragsdokumentengenerator, mwN; BGH, GRUR 2022, 1308 Rn. 26, beck-online). 2. Das mit der Unterlassungsverpflichtung Begehrte ließe sich vorliegend insbesondere im späteren Vollstreckungsverfahren im tatsächlichen nicht im ausreichenden Maße durch Auslegung unter Heranziehung des Sachvortrags der Klagepartei entnehmen. Die tatsächliche Gestaltung der Sicherheitsmaßnahmen und die Frage, was Stand der Technik ist, steht vorliegend zwischen den Parteien gerade nicht außer Frage. Ihr Streit würde sich deshalb gerade nicht lediglich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränken lassen. Die Klagepartei hat ihren Unterlassungsantrag trotz entsprechenden Hinweises nicht auf die konkrete Verletzungshandlung beschränkt (vgl. dazu mwN: BGH, GRUR 2022, 1308 Rn. 26 - YouTube II; BGH GRUR 2021, 1425 Rn. 12 – Vertragsdokumentengenerator; Köhler/Feddersen in Köhler/Bornkamm/Feddersen, 41. Aufl. 2023, UWG § 12 Rn. 1.43 und 1.45). 3. Auch der Gesichtspunkt der Gewährleistung effektiven Rechtsschutzes erfordert vorliegend die Zulassung des Unterlassungsantrags nicht. Zwar kann eine auslegungsbedürftige Antragsformulierung hinzunehmen sein, wenn eine weitere Konkretisierung nicht möglich ist und die Antragsformulierung zur Gewährleistung effektiven Rechtsschutzes erforderlich erscheint. Dies ist hier aber nicht der Fall, weil die Klagepartei sich mit der Formulierung des Klageantrags an der konkreten Verletzungsform orientieren könnte, ohne dass für sie damit ein effektiver Rechtsschutz gefährdet wäre (vgl. BGH, GRUR 2012, 405 Rn. 15 - Kreditkontrolle). Etwas anderes ergibt sich auch nicht aus der vom Klägervertreter zitierten Entscheidung des BGH, weil die dortige Klägerin im Unterlassungsantrag auf die konkrete Verletzungsform Bezug genommen hat und dort der Sachverhalt des verbotenen Verhaltens unstreitig war und es nur um dessen rechtliche Einordnung ging (BGH, GRUR 2015, 1237 Rn. 14). B. Begründetheit Die Klage ist in der Sache nur teilweise erfolgreich. Die Klagepartei hat einen Anspruch auf immateriellen Schadensersatz in Höhe von 100 €, auf Feststellung des Ersatzanspruchs hinsichtlich zukünftiger materieller Schäden sowie auf Freistellung von vorgerichtlichen Rechtsanwaltskosten. Hinsichtlich weitergehender Ansprüche ist die Klage abzuweisen. I. Klageantrag Ziffer 1 (immaterieller Schaden) Die Klagepartei hat gegen die Beklagte einen Anspruch auf immateriellen Schadenersatz in Höhe von 100 € gemäß Art. 82 Abs. 1 DSGVO aufgrund der Verletzung von Vorschriften der DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat grundsätzlich jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Gemäß § 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Anwendungsbereich der DSGVO ist zwar eröffnet (dazu 1). Auf Basis des streitigen Vorbringens der Parteien ist auch als durch die Klagepartei bewiesen anzusehen, dass diese von dem streitgegenständlichen API-Bug ebenfalls betroffen ist (dazu 2) Die Beklagte hat als Verantwortliche gegen mehrere Vorschriften der DSGVO verstoßen und konnte sich nicht exkulpieren (dazu 3). Der Klagepartei ist ein – kausal auf die Verstöße zurückzuführender – immaterieller Schaden entstanden, den das Gericht mit 100 € beziffert (dazu 4). 1. Der zeitliche Anwendungsbereich der DSGVO ist nach Art. 99 Abs. 2 DSGVO eröffnet, weil sich nach dem unbestrittenen Vortrag der klagenden Partei der streitgegenständliche Vorfall im Jahre 2021 ereignete. Auch ist die DSGVO räumlich (Art. 3 Abs. 1 DSGVO) und sachlich anwendbar (Art. 2 Abs. 1 DSGVO). Die Beklagte hat personenbezogene Daten (Twitter-ID, Name, Handynummer, Telefonnummer etc.) im Sinne des Art. 4 Abs. 1 Nr. 1 DSGVO gemäß Art. 4 Abs. 1 Nr. 2 DSGVO verarbeitet, weil sie diese bezogen auf die Person der Klagepartei im Rahmen der von ihr betriebenen Plattform Twitter gespeichert und sie die Verbindung der klagenden Partei mit ihrer Telefonnummer auch Dritten gegenüber durch die Schaffung dieser Abfragemöglichkeit offengelegt hat. Die Beklagte ist Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. 2. Die Darstellung der Klagepartei, entsprechend der von der Webseite „haveibeenpwned.com“ mit ihrer E-Mail-Adresse vom API-Bug 2021 betroffen zu sein, ist unbeschadet des Bestreitens der Beklagten als zugestanden anzusehen, weil die Beklagte der sie treffenden sekundären Darlegungslast nicht genügt hat. Zwar trägt nach allgemeinen Grundsätzen derjenige, der einen Anspruch aus Art. 82 DSGVO geltend macht, grundsätzlich die volle Darlegungs- und Beweislast für die anspruchsbegründenden Tatsachen, d.h. auch für die eigene Betroffenheit von einem DSGVO-Verstoß. Nach ständiger Rechtsprechung ist es jedoch in bestimmten Fällen Sache der Gegenpartei, sich im Rahmen der ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den Behauptungen der beweispflichtigen Partei substantiiert zu äußern. Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei insbesondere dann, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen. Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden (st. Rspr., vgl. etwa BGH, Urteil vom 25.5.2020 VI ZR 252/19 – juris Randnummer 34ff m.w.N. ) Hiervon ist vorliegend auszugehen. Die Klagepartei hat aufgrund der auf einem Datenabgleich mit inkriminierten Datensätzen beruhenden Auskunft der Webseite „haveibeenpwned.com“ hinreichende Anhaltspunkte für eine eigene Betroffenheit vom unstreitig im Jahr 2021 vorhanden gewesenen API-Bug bei der Beklagten. Über weitere Nachforschungs- oder Aufklärungsmöglichkeiten bezüglich der Betroffenheit eigener Daten verfügt die Klagepartei nicht. Die Beklagte behauptet im vorliegenden Rechtsstreit völlig pauschal und ohne jedweden Detailvortrag, dass durch sie vorgenommene Untersuchungen ergeben hätten, dass weit weniger Datensätze vom API-Bug 2021 betroffen gewesen seien, als von der Website „haveibeenpwned.com“ dargestellt und insbesondere der Twitter-Account der Klagepartei hiervon nicht betroffen gewesen sei. Dieser Vortrag entspricht – soweit überschaubar - demjenigen in sämtlichen beim hiesigen Gericht wegen des streitgegenständlichen API-Bugs anhängigen Parallelverfahren. Dabei trägt die Beklagte selbst vor, dass ihr ein kompletter Datensatz bezüglich aller tatsächlichen Nutzer vorläge, stellt diesen aber der Klagepartei und dem Gericht – wenn auch nur etwa in Form einer von Verbraucherschutzverbänden geprüften konkreten Abfragemöglichkeit auf einer Firmenwebsite, vergleichbar etwa derjenigen des Volkswagenkonzerns für Fahrzeuge mit Motoren des Typs EA 189 – nicht zur Verfügung. Auch den von ihr selbst erstellten „200M Report“, der in der Klageerwiderung erwähnt wird, der sich aber unstreitig ohnehin nicht konkret auf das Twitterkonto der Klagepartei bezieht, hat die Klagepartei nicht vorgelegt. Auch vorgerichtlich hat die Beklagte gegenüber der Klagepartei auf deren Anfrage hin mit Schreiben vom 1.8.2023 (Anlage K 7a) lediglich erklärt, dass das Vorfall-Reaktionsteam und das Team für Privatsphäre und Datenschutz von Twitter International nach einer umfassenden Untersuchung zu dem Schluss gekommen sei, dass es keine Beweise dafür gebe, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von Twitter International erlangt worden seien, weshalb Auskunfts- und Schadensersatzansprüche der Klagepartei auch nicht gegeben seien. Damit ist der Klagepartei jedwede Möglichkeit zu konkretisiertem Vortrag genommen. Sache der Beklagten wäre es gewesen, im Einzelnen darzustellen, woraus sich die behauptete fehlende Betroffenheit der Klagepartei aufgrund der von ihr selbst durchgeführten Untersuchungen beweisbar entnehmen lässt. Hierzu fehlt es jedoch an jeglichem Vortrag der Beklagten. 3. Verstöße der Beklagten gegen Vorschriften der DSGVO Die Beklagte hat als Verantwortliche gegen mehrere Vorschriften der DSGVO verstoßen. Sie hat sich nicht exkulpieren können. a) Der Maßstab für Verstöße gegen die DSGVO im Sinne des Art. 82 Abs. 1 DSGVO ist weit zu fassen. Es kommen materielle wie formelle Verstöße in Betracht. Auch ist nicht allein auf die Datenverarbeitung abzustellen, sondern sämtliche Maßnahmen, so auch Vorbereitungsmaßnahmen, können einen entsprechenden Anspruch begründen (OLG Köln, Urteil vom 14. Juli 2022 – I-15 U 137/21 –, Rn. 24, juris; BeckOK DatenschutzR/Quaas, 43. Ed. 1.2.2023, DSGVO Art. 82 Rn. 14; ähnl. auch Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz, Rn. 5; Kühling/Buchner/Bergt, 3. Aufl. 2020, DSGVO Art. 82 Rn. 23; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 82 Rn. 8; EuArbRK/Franzen, 4. Aufl. 2022, VO (EU) 2016/679 Art. 82 Rn. 10). Dies ergibt sich aus dem Wortlaut des Art. 82 Abs. 1 DSGVO selbst, der allgemein von „Verstoß gegen die DSGVO“ spricht und damit jeglichen Verstoß einschließt. Etwas anderes folgt nicht etwa aus Erwägungsgrund 146 S. 1. Soweit dort von Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, die Rede ist, ist dies nicht etwa dahingehend aufzufassen, dass nur Verstöße bei der Verarbeitung von Daten im engeren Sinne gemeint sind. Dies widerspräche dem in Art. 1 Abs. 2 DSGVO postulierten Ziel der Verordnung, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. Vielmehr bezieht sich die gesamte DSGVO auf die Verarbeitung von Daten und stellt Regeln auf, die bei der dem sachlichen Anwendungsbereich gemäß Art. 2 unterfallenden Datenverarbeitung einzuhalten sind. Der EuGH hat aus der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nunmehr dem Verantwortlichen ausdrücklich die Darlegungs- und Beweislast für die Rechtsmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO auferlegt (EuGH, Urteil vom 04.05.2023 - C-60/22 Rn. 53 ff.). b) Eine Eingrenzung folgt auch nicht aus dem Wortlaut von Art. 82 Abs. 2-5 DSGVO dadurch, dass diese jeweils wörtlich auf die Verarbeitung abstellen. Diese Absätze des Art. 82 DSGVO dienen lediglich der Abgrenzung der Haftung mehrerer Anspruchsgegner im Innenverhältnis, weil dort auf die die Auftragsverarbeiter betreffenden Pflichten abgestellt wird und nicht auf die durch sie getätigten Verarbeitungsschritte. Auch, dass die letztliche Haftung bei mehreren Anspruchsgegnern von der Verantwortlichkeit für den jeweils verletzten Umstand abhängt, Art. 82 Abs. 3 DSGVO, also erneut nicht auf eine konkrete Verarbeitungstätigkeit abgestellt wird, spricht gegen eine Eingrenzung des Art. 82 Abs. 1 DSGVO. Auch die englische und französische Sprachfassung verwenden entsprechende Formulierungen in den jeweiligen Absätzen. Vor diesem Hintergrund sind die wörtlichen Bezüge „durch eine Verarbeitung“ in Abs. 2 sowie „aufgrund einer Verarbeitung“ so zu verstehen, dass diese lediglich auf einen Bezug zu einer Verarbeitung deuten. Das ist auch schon deswegen konsequent, weil die Anwendung der DSGVO selbst eine Verarbeitung voraussetzt, Art. 2 Abs. 1 DSGVO. Keine Vorschrift der DSGVO inkl. des Art. 82 Abs. 1 DSGVO ist überhaupt anwendbar, solange überhaupt gar keine Verarbeitung stattfindet. In diesem Verständnis ist es aber auch nur konsequent, dass diese vorhergehenden und nachfolgenden Pflichten der DSGVO in Bezug auf eine Verarbeitung die Schadensersatzpflicht ebenso auslösen. Diese Auslegung entspricht auch dem in Art. 1 Abs. 2 DSGVO postulierten Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen. c) Verstoß gegen Artt. 24, 32, 5 Abs. 1 f) DSGVO (Sicherheit der Verarbeitung) Die Beklagte hat gegen die Verpflichtung gemäß Artt. 24, 32, 5 Abs. 1 f) DSGVO, die Sicherheit der Verarbeitung zu gewährleisten, verstoßen, indem sie keine ausreichend geeigneten technischen und organisatorischen Maßnahmen getroffen hat, um die personenbezogenen Daten der Klagepartei, namentlich ihre Twitter-ID, die Handy- und / oder E-Mail-Adresse sowie - wenn vom jeweiligen Nutzer angegeben - auch dessen Name Geschlecht und Wohnort, gegen unbefugten Zugriff zu schützen. (aa) Art. 32 Abs. 1 DSGVO verlangt vom Verantwortlichen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Abs. 2 sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Das Gebot des Art. 32 DSGVO soll insbesondere personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen davor schützen, dass Dritte diese unbefugt oder unrechtmäßig verarbeiten (Paal/Pauly/Martini, 3. Aufl. 2021, DSGVO Art. 32 Rn. 2). Es tritt neben die Generalnorm des Art. 24 DSGVO, der den Verantwortlichen allgemein dazu verpflichtet, die Einhaltung der Anforderungen der DSGVO durch technische und organisatorische Maßnahmen sicherzustellen (Paal/Pauly/Martini, a.a.O., Rn. 7) und stellt eine Konkretisierung der in Art. 5 Abs. 1 f) DSGVO normierten Datenschutzgrundsätze der Integrität und Vertraulichkeit dar (Kühling/Buchner/Jandt, 3. Aufl. 2020, DSGVO Art. 32 Rn. 1). Ziel von Art. 32 DSGVO ist die Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Es sind daher nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen, sondern nur solche, die als verhältnismäßig anzusehen sind. Denn die DSGVO verlangt keine Datensicherheit um jeden Preis, sondern es muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden (OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21 –, Rn. 54, juris; Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), Artikel 32 Sicherheit der Verarbeitung, Rn. 3; BeckOK DatenschutzR/Paulus, 42. Ed. 1.11.2021, DSGVO Art. 32 Rn. 7). Dem Adressaten bleibt daher unter Berücksichtigung der in Abs. 1 vorgegebenen Abwägungskriterien ein Ermessensspielraum (Sydow/Marsch DSGVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 32 Rn. 10). Die Maßnahmen müssen umso wirksamer sein, je höher die drohenden Schäden sind (Ehmann/Selmayr/Hladjk, 2. Aufl. 2018, DSGVO Art. 32 Rn. 4). Der EuGH hat die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen auferlegt (EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 52, juris). (bb) Bei dem hier in Rede stehenden Twitter-Profil, Handynummer und / oder E-Mail-Adresse sowie – wenn eingegeben – weiteren persönlichen Angaben des Nutzers handelt es sich um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, die die Beklagte auch nach Art. 4 Nr. 2 DSGVO verarbeitet, nämlich insbesondere erhoben, gespeichert, verknüpft und bereitgestellt, hat. Denn durch die von der Beklagten zur Verfügung gestellte API-Schnittstelle ermöglichte sie Dritten, mittels den von diesen eingegebenen Telefonnummern oder E-Mail-Adressen die jeweilige Twitter-ID der Klagepartei festzustellen, in einem weiteren Schritt dann deren öffentlich einsehbaren personenbezogenen Daten aufzufinden und diese sodann mit der eingegebenen Telefonnummer und / oder E-Mail-Adresse zu einem neuen Datensatz zu verknüpfen. Dieses Tool konnte von jedem genutzt werden. Vorliegend hat die Beklagte noch nicht einmal konkret behauptet, den sie treffenden Sicherheitsvorgaben genügt zu haben. Vielmehr hat sie in den an ihre Nutzer übersandten Informationen selbst eingeräumt, dass die betreffende API-Schnittstelle vorübergehend nicht ausreichend Zugriffsschutz geboten habe, durch geeignete technische Maßnahmen nach Bekanntwerden des Vorfalls aber unverzüglich hätte geschlossen werden können. Datenscraping stellte – auch in den Jahren 2018/19 – eine reale Gefahr dar. Dieses weitverbreitete Phänomen war damals auch der Beklagten bereits bekannt. Die Eintrittswahrscheinlichkeit war mithin hoch, zumal ein soziales Netzwerk wie Twitter mit einer Vielzahl von Nutzern und einem entsprechenden Umfang an persönlichen Daten auch aus Sicht der Beklagten als besonders interessantes Angriffsziel für Scraper zu bewerten sein musste. Die damalige Konzeption der API-Schnittstelle ermöglichte es Dritten, mittels einer eingegebenen Telefonnummer oder E-Mail-Adresse Zugang zur Twitter-ID und damit zu den öffentlich einsehbaren persönlichen Daten eines Nutzers zu erhalten. Es war damit möglich, durch Eingabe einer Telefonnummer oder Handynummer, die ohne Bezug zu einer konkreten Person zunächst lediglich eine abstrakte Ziffernfolge darstellte, eine dahinterstehende Person zu identifizieren und auf deren Nutzerprofil mit weiteren persönlichen Informationen Zugriff zu nehmen. Bei diesen persönlichen Informationen, die es zu schützen galt, handelte es sich um sensible Daten, die insbesondere in ihrer Kombination geeignet sind, einen Twitter-Nutzer der sonst zulässigen Anonymität zu entreißen, von ihm veröffentliche Beiträge seiner E-Mail-Adresse und / oder Handynummer zuzuordnen und darüber hinaus mit der so verknüpften E-Mail-Adresse einen Identitätsdiebstahl und Phishing-Attacken zu begehen, die den Nutzer in erhebliche Schwierigkeiten mit ggfs. daraus folgenden materiellen oder immateriellen Schäden bringen können. Dass eine ausreichende Sicherung der API-Schnittstelle die Beklagte mit einem unangemessenen finanziellen oder organisatorischen Aufwand belastet hält, wird von ihr nicht behauptet. Die Beklagte sorgte nach alledem nicht für ein angemessenes Schutzniveau. d) Verstoß gegen Artt. 33, 34 DSGVO (Meldepflichten) Gemäß Art. 33 Abs. 1 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der gem. Art. 55 DSGVO zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Der Mindestinhalt der Meldung ist in Art. 33 Abs. 3 DSGVO festgelegt. Dass die Beklagte diesen Informationspflichten nachgekommen sei, wird von ihr mit dem Vortrag, am 8.1.2022 die Irish Data Protection Commision (DPC) informiert zu haben, nicht ausreichend dargestellt. Ob die Beklagte auch gegen ihre Pflicht nach Art. 34 Abs. 1 DSGVO verstoßen hat, kann hier offenbleiben.. Nach dieser Vorschrift hat der Verantwortliche die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese voraussichtlich ein hohes Risiko für seine persönlichen Rechte und Freiheiten zur Folge hat (so LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22, GRUR-RS 2022, 39349 Rn. 97, beck-online). Die Klagepartei hat jedoch nicht dargelegt, welche Schritte sie bei einer unverzüglichen Information ergriffen hätte und wie das den Schaden bzw. potenzielle Gefahren aus dem Scrapingsachverhalt beeinflusst hätte. e) Möglicher Verstoß gegen Auskunftspflicht des Art. 15 DSGVO Ob die Beklagte dem vorgerichtlichen Auskunftsersuchen der Klägerseite über ihre personenbezogenen Daten nicht in ausreichendem Maße nachgekommen ist und dadurch gegen Art. 15 DSGVO verstoßen hat, kann ebenfalls dahinstehen. Denn die Ungewissheit über die Verarbeitung der eigenen Daten deckt sich mit dem Schaden durch den eigentlichen Verstoß. Ein eigenständiger Schadensersatzanspruch aufgrund einer Verletzung der Auskunftspflicht kommt nur in Betracht, wenn die fehlende Auskunft einen Schaden zumindest verschärft hat. Dies ist hier nicht zu erkennen, weil die Klagepartei nicht ansatzweise darlegt, welche Schritte sie bei einer ausreichenden Auskunft vorgenommen hätte und wie das einen Schaden vermindert hätte. f) Keine Exkulpation gemäß Art. 82 Abs. 3 DSGVO Die Beklagte kann sich nicht gemäß Art. 82 Abs. 3 DSGVO, der das Verschulden widerleglich vermutet, exkulpieren. (aa) Soweit in der Vorschrift von der Verantwortlichkeit für den Schaden die Rede ist, ist dies im Sinne von Verschulden aufzufassen (wohl h.M.: vgl. OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21 –, Rn. 45, 51, juris BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DSGVO Art. 82 Rn. 17.2; Ehmann/Selmayr/Nemitz, 2. Aufl. 2018, DSGVO Art. 82 Rn. 14; Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DSGVO Art. 82 Rn. 24; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DSGVO Art. 82 Rn. 11; a.A. Sydow/Marsch DSGVO/BDSG/Kreße, 3. Aufl. 2022, DS GVO Art. 82 Rn. 19: fehlendes Verschulden für Entlastung nicht ausreichend). Art. 82 Abs. 3 DSGVO ordnet eine Beweislastumkehr hinsichtlich des Verschuldens an (Oberster Gerichtshof Wien, Urteil vom 27. November 2019 – 6 Ob 217/19h –, juris). Der Anspruchsverpflichtete kann sich daher nur entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d.h. am allgemeinen Schutzinteresse orientierte, erforderliche Sorgfalt im Sinne von § 276 Abs. 2 BGB angewendet hat (BeckOK DatenschutzR/Quaas, 42. Ed. 1.8.2022, DSGVO Art. 82 Rn. 18). (bb) Die Beklagte hat keinerlei Umstände angeführt, die sie hinsichtlich der fehlenden Sicherheitsmaßnahmen zur Vermeidung des automatisierten Abgreifens von Daten über die API-Schnittstelle mittels Telefonnummer oder E-Mail-Adresse entlasten könnte. (cc) Insbesondere kann sich der Anspruchsverpflichtete nach der Rechtsprechung des EuGH nicht darauf berufen, dass der Schaden die Folge einer unbefugten Offenlegung von personenbezogenen Daten durch Cyberkriminelle und damit durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO ist, wenn er – wie her – diese Verletzung unter Missachtung seiner Pflichten aus Artt. 5 Abs. 1 f, 24, 32 DSGVO erst ermöglicht hat (EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 71, juris). 4. Immaterieller Schaden in Höhe von 100 € Der Klagepartei ist durch die Verstöße der Beklagten gegen die genannten Vorschriften DSGVO ein immaterieller Schaden in Höhe von 100 € entstanden. a) Der Begriff des Schadens ist gemäß Erwägungsgrund 146 S. 3 DSGVO weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Für einen Schadensersatzanspruch nach Art. 82 DSGVO reicht allerdings der bloße Verstoß gegen die Bestimmungen der DSGVO nicht aus. Es muss ein Schaden vorliegen (EuGH, Urteil vom 4. Mai 2023 – C-300/21, Rn. 33 ff., juris). Der Ersatz eines immateriellen Schadens nach Art 82 DSGVO ist aber nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, so dass auch Bagatellschäden einen Schadensersatzanspruch begründen können (EuGH, aaO, Rn. 45). Nach der Rechtsprechung des EuGH kann dieser Schaden auch darin liegen, dass der Kläger Angst vor einer missbräuchlichen Verwendung seiner personenbezogenen Daten durch Dritte hat. Dabei ist das Gericht gehalten, zu prüfen, ob diese Befürchtung unter den gegebenen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 79 f., 84 f., juris). Die Erwägungsgründe 75 und 85 führen als möglichen Schaden außerdem den Verlust, die personenbezogenen Daten kontrollieren zu können, auf. Das Gericht schließt sich hinsichtlich der Auslegung dieser Merkmale dem Verständnis des Generalanwaltes im Verfahren gegen die Österreichische Post AG an. Danach verursacht der Verlust über die Kontrolle der Daten nicht zwangsläufig einen Schaden. Vielmehr adressiert die Erwähnung des Kontrollverlustes in den Erwägungsgründen – in sprachlicher Unschärfe – die möglichen Folgen dieses Verlusts wie etwa Angst oder Besorgnis, was mit den Daten geschehen könnte (vgl. Schlussanträge des Generalanwalts vom 06.10.2022, C-300/21, Celex-Nr. 62021CC0300, Rn. 62 u. Fn. 43). Der EuGH hat in seiner hierzu ergangenen Entscheidung dieser Auffassung des Generalanwalts nicht widersprochen, sondern nur betont, dass über den Datenverlust als solcher hinaus ein immaterieller Schaden des Betroffenen festgestellt werden muss (EuGH, aaO, Rn. 50). b) Im streitgegenständlichen Fall ist das Gericht davon überzeugt, dass dem Kläger nach Maßgabe dessen ein kausal auf die Verstöße der Beklagten zurückzuführender immaterieller Schaden zugefügt wurde. (aa) Der Kläger hat in seiner informatorischen Anhörung erklärt, dass er seit ungefähr einem Jahr stark vermehrt Spam-E-Mails erhalte. Derzeit erhalte er ungefähr 100 Spam-E-Mails pro Monat. Vor zwei oder drei Jahren habe er sich ein Ersatz-E-Mail-Konto eingerichtet, auf dem er nie Spam-E-Mails erhalte. Der Spam-Ordner in seinem ursprünglichen E-Mail-Konto sei immer proppenvoll. Er habe auch schon einmal wichtige Nachrichten verpasst, weil der Spam-Filter von googlemail sie aus Versehen in den Spam-Ordner einsortiert habe. Er empfinde es als sehr lästig, so viele Spam-E-Mails zu erhalten. Er habe außerdem Angst, versehentlich einmal auf einen Viren-Link zu klicken, wodurch auf seinem – auch dienstlich genutzten – Computer ein Bot installiert werden könnte. Er habe auch Angst davor, was passiert, wenn jemand mit seiner E-Mail-Adresse und in seinem Namen etwas rausschickt an seine Kontakte. Die Frage seines Prozessbevollmächtigten, ob er Angst vor Missbrauch seiner Daten habe, bejahte er. Er hätte beispielsweise Angst davor, dass jemand unter seinem Namen etwas verschickt. Er habe es selbst schon erlebt, dass er E-Mails bekomme von Leuten, die er tatsächlich kenne. Er hätte eben Angst, dass jemand etwas Ähnliches mit seiner E-Mail-Adresse täte, beispielsweise auch, dass jemand Geschäfte mit seiner E-Mail-Adresse mache oder mit seiner E-Mail-Adresse im Darknet unterwegs sei. (bb) Der Schaden des Klägers liegt nicht in dem vermehrten Aufkommen an Spam-E-Mails. Die damit einhergehenden Beeinträchtigungen erschöpfen sich in einer Verärgerung über den Mehraufwand für das Aussortieren unerwünschten Spam-E-Mails. Ebenfalls kein kausaler Schaden liegt darin, dass der Kläger in der Vergangenheit vereinzelt wichtige Nachrichten verpasst hat. Wie er selbst ausführt war das falsche Einsortieren in den Spam-Ordner dem Spamfilter seines Mailanbieters zuzurechnen und nicht auf einen Datenschutzvorfall bei der Beklagten zurückzuführen. Der Schaden des Klägers liegt aber in seiner konkret-individuell und damit glaubhaft geschilderten Angst vor einer missbräuchlichen Verwendung seiner E-Mail-Adresse durch Dritte. Der Kläger hat zunächst spontan berichtet, dass er Angst davor hätte, dass unter seiner E-Mail-Adresse Nachrichten an seine Kontakte verschickt würden. Darauf kam er auf konkrete Nachfrage seines Prozessbevollmächtigten noch einmal zurück. Diese Sorge vor einem Missbrauch kann unter den gegebenen Umständen auch als begründet angesehen werden, weil nicht ausgeschlossen werden kann, dass die E-Mail-Adresse des Klägers missbräuchlich verwendet wird (vgl. auch die Erwägungen zur Begründetheit des Feststellungsantrags). Dieser Schaden – die Angst vor einer missbräuchlichen Verwendung der E-Mail-Adresse – ist zur Überzeugung des Gerichts (§ 287 ZPO) auch kausal auf die DSGVO-Verstöße der Beklagten zurückzuführen. Auch die Möglichkeit, dass die E-Mail-Adresse des Klägers auch auf anderen Websites abgegriffen worden ist – laut der Internetseite www.haveibeenpwned.de wurde die E-Mail-Adresse des Klägers auch bei vier weiteren Datenlecks abgegriffen; die Klägerin bestätigte, dass sie bei einem der genannten Websites mit ihrer E-Mail-Adresse angemeldet sei – ändert daran nichts. Der Kläger war seiner Erinnerung nach ausschließlich bei Dropbox, nicht jedoch bei Cit0day, Collection #1 oder Lead Hunter angemeldet. Der Datenschutzvorfall bei Dropbox ereignete sich indes bereits im Jahr 2012 und erklärt das merklich vor einem Jahr angestiegene Spam-Aufkommen nicht. Hinzu kommt, dass die Verstöße der Beklagten dazu geführt haben, dass die E-Mail-Adresse des Klägers im Internet weiter kursiert. Sie haben die Angst des Klägers damit jedenfalls verschärft. c) Das Gericht bemisst den der Klagepartei entstandenen Schaden mit 100 €. (aa) Bei der Bestimmung des von der Klagepartei in das Ermessen des Gerichts gestellten Höhe des Schadenersatzes gemäß § 287 Abs. 1 S. 1 ZPO sind alle Umstände des Einzelfalls zu würdigen (vgl. BAG, Urteil vom 5. Mai 2022 – 2 AZR 363/21 –, Rn. 12 f., juris). Die Kriterien des Art. 83 Abs. 2 DS-GVO, die Anhaltspunkte für die Höhe der von der Aufsichtsbehörde zu verhängenden Geldbuße geben sollen, können auch für die Bemessung des immateriellen Schadenersatzes herangezogen werden (vgl. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 82 Haftung und Recht auf Schadenersatz, Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18d; BeckOK DatenschutzR/Quaas, 43. Ed. 1.2.2023, DS-GVO Art. 82 Rn. 31). Danach sind unter anderem Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens sowie die Kategorien der personenbezogenen Daten zu betrachten. Gemäß Erwägungsgrund 146 S. 6 DS-GVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen (Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10). Bei der Festsetzung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften unter Berücksichtigung des unionsrechtlichen Effektivitätsgebots und Äquivalenzgebots anzuwenden. In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs ist eine auf diese Bestimmung gestützte finanzielle Entschädigung „vollständig und wirksam“, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (EuGH, aaO, Rn. 58). (bb) Im streitgegenständlichen Fall hält das Gericht unter Berücksichtigung der Ausgleichs- und Genugtuungsfunktion sowie der generalpräventiven Funktion des immateriellen Schadenersatzes einen Betrag in Höhe von 100 € erforderlich, aber auch ausreichend. Dabei fließt anspruchserhöhend ein, dass der Beklagten mehrere schadensursächliche Verstöße gegen die DSGVO zur Last zu legen sind. Anspruchsmindernd ist zu berücksichtigen, dass es sich bei den gescrapten Daten lediglich um die E-Mail-Adresse, nicht jedoch um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelt. 5. Da sich die Beklagte nach Ablauf der zehntägigen Frist nach Erhalt des klägerischen Aufforderungsschreibens vom 14.7.2023 in Verzug befand, rechtfertigt sich der Zinsanspruch des Klägers seit dem 15.7.2023 aus §§ 286 Abs. 1 S. 1, 288 Abs. 1 BGB. II. Klageantrag Ziffer 2 (Schadensersatz wegen nicht ausreichend gewährter Auskunft) Der Klagepartei steht der mit dem Klageantrag Ziffer 2 geltend gemachte Schadensersatzanspruch gegenüber der Beklagten nicht zu. Ein solcher Anspruch ergibt sich im vorliegenden Fall nicht aus Art. 82 Abs. 1 DSGVO i.V.m. Art. 15 DSGVO, da die Klagepartei einen eingetretenen Schaden nicht dargelegt hat. Insbesondere wurde nicht vorgetragen, was eine frühere Auskunft der Beklagten nach Art. 15 DSGVO konkret an dem Schaden der Klagepartei geändert hätte. III. Klageantrag Ziffer 3 (Feststellung) Der Feststellungsantrag ist begründet. Die Klagepartei hat gemäß Art. 82 DSGVO auch Anspruch auf Feststellung der Ersatzpflicht der Beklagten für materielle Schäden, die aus dem von der Beklagten nach dem Gesagten mitzuverantwortenden Scraping-Vorfall / Zugriff auf das Datenarchiv der Beklagten gegebenenfalls entstanden sind oder noch entstehen werden. 1. Ein zulässiger Feststellungsantrag ist begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Eingriff gegeben ist, der zu möglichen künftigen Schäden führen kann. Eine darüberhinausgehende gewisse Wahrscheinlichkeit des Schadenseintritts ist nach hier vertretener Auffassung nicht zu verlangen (so auch OLG Stuttgart, Urteil vom 21. Juni 2018 – 13 U 18/18 –, Rn. 46, juris an der Erforderlichkeit eines solchen zusätzlichen Begründungselementes zweifelnd: BGH, Urteil vom 16. Januar 2001 – VI ZR 381/99 –, Rn. 8, juris; Beschluss vom 9. Januar 2007 – VI ZR 133/06 –, Rn. 6, juris). 2. Dass der Scraping-Vorfall möglicherweise zu materiellen Schäden bei der Klagepartei führen kann, steht angesichts dessen, dass nicht bekannt ist, wer Zugriff auf den Datensatz hat, für das Gericht außer Zweifel. Dies ergibt sich schon aus der Möglichkeit des Missbrauchs der Telefonnummer / E-Mail-Adresse. IV. Klageantrag Ziffer 4 (Unterlassung) Der geltend gemachte Unterlassungsanspruch ist bereits unzulässig (s.o.). Er wäre aber auch in der gewählten Formulierung unbegründet. Die Klagepartei kann von der Beklagten nämlich nicht verlangen, dass diese es unterlässt, die Daten der Klagepartei Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen. Denn die Beklagte trifft als Verantwortliche keine Verpflichtung, die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen. 1. Zwar folgt aus Art. 32 Abs. 1 und 2 DSGVO, dass der Verantwortliche ein dem Risiko eines unbefugten Zugangs zu personenbezogenen Daten angemessenes Schutzniveau zu gewährleisten hat. Dabei liegt es im Ermessen des Verantwortlichen, aus der Vielzahl möglicher Maßnahmen, die das Risiko der Datenverarbeitung reduzieren können, konkrete Maßnahmen auszuwählen, durch die nach seiner Einschätzung ein angemessenes Schutzniveau erreicht wird (Kühling/Buchner/Jandt, 3. Aufl. 2020, DSGVO Art. 32 Rn. 8). Allerdings ist wesentlich, dass nicht alle möglichen Maßnahmen zur Gewährleistung von Datensicherheit zu ergreifen sind, sondern nur solche, die unter Abwägung zwischen Schutzzweck und Aufwand unter Berücksichtigung der Arten der Daten, dem Stand der Technik und den anfallenden Kosten als verhältnismäßig anzusehen sind (vgl. Sydow/Marsch DSGVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 32 Rn. 10). Denn die DSGVO verlangt keine Datensicherheit um jeden Preis und verpflichtet den Verantwortlichen nicht zu einem absoluten Schutz der personenbezogenen Daten; vielmehr muss das Schutzniveau dem jeweiligen Einzelfall angemessen sein, wobei Risiken nicht gänzlich ausgeschlossen werden können (Gola/Heckmann/Piltz, DSGVO 3. Aufl., Art. 32 Rn. 11; Paal/Pauly/Martini, DSGVO 3. Aufl., Art. 32 Rn. 46; Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DSGVO)/Bundesdatenschutzgesetz (BDSG), Artikel 32 Sicherheit der Verarbeitung, Rn. 3). 2. Die Klagepartei kann daher lediglich ein angemessenes Schutzniveau bzw. die Unterlassung einer Datenverarbeitung ohne dieses verlangen. Darauf, dass eines der Abwägungskriterien in den Vordergrund gestellt wird, hat sie ebenso wenig Anspruch wie auf das Ergreifen konkreter Maßnahmen (vgl. dazu auch BGH, Urteil vom 22. Oktober 1976 – V ZR 36/75 –, BGHZ 67, 252-254, Rn. 11; Urteil vom 17. Dezember 1982 – V ZR 55/82 –, Rn. 17, juris, jeweils zu Unterlassungsansprüchen gegen Immissionen). V. Klageantrag Ziffer 5 (Auskunft) Der Klagepartei steht ferner der mit dem Klageantrag zu 5 verfolgte Auskunftsanspruch gegenüber der Beklagten nicht zu. Der Anspruch folgt insbesondere nicht aus Art. 15 DSGVO. 1. Nach dieser Vorschrift kann die betroffene Person Auskunft über personenbezogene Daten verlangen, wenn der Verantwortliche sie betreffende personenbezogene Daten verarbeitet hat. Art. 15 Abs. 1 Hs. 1, 2 DSGVO enthält zunächst einen Anspruch der betroffenen Person gegen den Verantwortlichen, ihr zu bestätigen, ob sie betreffende personenbezogene Daten verarbeitet werden. Verarbeitet der Verantwortliche personenbezogene Daten der betroffenen Person, so hat die betroffene Person gem. Art. 15 Abs. 1 Hs. 1, 2 DSGVO ein Recht auf Auskunft über diese personenbezogenen Daten (vgl. BGH, Urteil vom 15.06.2021 - VI ZR 576/19 = NJW 2021, 1381). Im Ausgangspunkt steht der Klagepartei nach dieser Vorschrift grundsätzlich ein Auskunftsanspruch über die bei der Beklagten als Verantwortliche im Sinne des Art. 4 Nr. 7 Hs. 1 DSGVO verarbeiteten, sie betreffende personenbezogenen Daten zu. 2. Der Anspruch ist jedoch durch Erfüllung untergegangen, § 362 Abs. 1 BGB. a) Den Auskunftsanspruch erfüllt der Verantwortliche, indem er die verlangten Informationen nach Maßgabe des Art. 15 erteilt. Außerdem muss der Verantwortliche eine Kopie der personenbezogenen Daten, die er verarbeitet, zur Verfügung stellen. Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit oder Unvollständigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen, was auch aus dem Wortlaut des § 259 Abs. 2 BGB folgt. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig sei (vgl. BGH, Urteil vom 03.09.2020 - III ZR 136/18 = GRUR 2021,110). Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. b) Dies ist hier der Fall. Mit Schreiben vom 14.7.2023 hat die Klagepartei gegenüber der Beklagten Auskunft begehrt, „wann wer welche personenbezogenen Daten unserer Mandantschaft über die API-Schnittstelle „abgegriffen“ hat“. Diesem Auskunftsverlangen hat die Beklagte zwar mit vorgerichtlichem Schreiben vom 1.8.2023 (Anlage K 7a) noch nicht entsprochen. Denn die Erklärung „.. weist Twitter International Behauptungen zurück, wonach 400 Millionen mit Twitter verknüpfte NutzerE-Mails und Telefonnummern durch dieselbe Sicherheitslücke, die im Januar 2022 entdeckt wurde, erlangt wurden. Vielmehr sind das Vorfall-Reaktionsteam und das Team für Privatsphäre und Datenschutz von Twitter International nach einer umfassenden Untersuchung zu dem Schluss gekommen, dass es keine Beweise dafür gibt, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von Twitter International erlangt wurden“ erschöpfte sich in der bloßen Zurückweisung der geltend gemachten Ansprüche und enthielt keine Erklärung dazu, ob personenbezogene Daten der Klagepartei über die API-Schnittstelle der Beklagten an Dritte gelangt seien. Die Beklagte hat dem Auskunftsverlangen der Klagepartei jedoch dann mit Klageerwiderung vom 27.11.2023 genügt. Denn dort (Blatt 6f. der Klageerwiderung) hat die Beklagte ausdrücklich erklärt, dass der Account der Klagepartei nicht zu denjenigen Twitter-Accounts gehört habe, die von dem API-Bug im Jahr 2021 betroffen gewesen seien. Diese Erfüllungshandlung war ausreichend, um den Erfüllungserfolg zu bewirken. Dass die Klagepartei die erteilte Auskunft für unrichtig ansieht, ändert hieran – wie ausgeführt – nichts. c) Soweit die Klagepartei darüber hinaus Auskunft verlangt, wer die Daten über die API-Schnittstelle „abgegriffen“ habe, ist der Anspruch (ebenfalls) durch Erfüllung untergegangen, § 362 BGB. Die Beklagte hat mit der Klageerwiderung vorgetragen, über die Verarbeitungstätigkeiten Dritter (hier: „Scraper“), keine Angaben machen zu können. Unabhängig davon, ob die erteilte Auskunft unrichtig oder unvollständig ist, begründet die erteilte Auskunft jedenfalls keinen (weiteren) Auskunftsanspruch, da die Beklagte zum Ausdruck gebracht hat, das Auskunftsbegehren der Klagepartei vollständig erfüllt zu haben und nicht weiter erfüllen zu können (vgl. idS: LG Paderborn Urt. v. 19.12.2022 – 3 O 99/22, GRUR-RS 2022, 39349 Rn. 162-168, beck-online). VI. Klageantrag Ziffer 6 (Freistellung von vorgerichtlichen Rechtsanwaltskosten) Die Klagepartei kann von der Beklagten verlangen, dass sie die Klagepartei von vorgerichtlichen Rechtsanwaltskosten freistellt. Die vorgerichtlichen Rechtsanwaltskosten sind als Teil des zu ersetzenden Schadens gemäß Art. 82 Abs. 1 DSGVO zu erstatten. Aufgrund der Schwierigkeit der Sach- und Rechtslage war die Hinzuziehung eines Rechtsanwalts zur effektiven Durchsetzung der klägerischen Ansprüche erforderlich und notwendig. Unter Zugrundelegung des Wertes des berechtigten Verlangens der Klagepartei von 1.100 € (100 € immaterieller Schadensersatz, 500 € Feststellungsantrag plus – vorgerichtlich noch berechtigt – 500 € Auskunft) zum Zeitpunkt der außergerichtlichen Tätigkeit führt dies zu berechtigten außergerichtlichen Kosten in Höhe von 220,27 € (1,3-fache Geschäftsgebühr nebst Pauschale nach Nr. 7002 VV RVG zzgl. 19% MwSt. aus Gegenstandswert 1.100,-). Die beantragten Zinsen seit Rechtshängigkeit stehen der Klagepartei indes nicht zu, weil der Freistellungsanspruch keine Geldschuld i.S.v. § 291 S. 1 BGB ist (BGH, Urteil vom 12. Oktober 2017 – IX ZR 267/16, Rn. 29, juris Grüneberg/Grüneberg, § 288 Rn. 6). C. Nebenentscheidungen 1. Die Entscheidung über die Kosten beruht auf § 92 Abs. 1 ZPO (Teilobsiegen der Klagepartei mit 600,- € / 8.000,- €). 2. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 711 S. 1, 709 S. 2 ZPO. Die Parteien streiten über Ansprüche auf Schadensersatz, Unterlassung, Auskunft und Nebenforderungen aufgrund behaupteter Verstöße der Beklagten gegen die Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit einem sog. „API-Bug“ bei der Beklagten. Die Beklagte betreibt das soziale Netzwerk Twitter und die Webseite twitter.com. Im Rahmen der Nutzung dieser Plattform können Nutzer persönliche Profile anlegen. Auf den persönlichen Profilen können Nutzer ergänzende Angaben zur eigenen Person machen, Profilfotos anlegen, sich sozial vernetzen sowie öffentlich Beiträge zur Diskussion stellen bzw. an von anderen Nutzern initiierten öffentlichen Diskussionen teilnehmen. Die Registrierung bei Twitter erfordert die Angaben einer E-Mail-Adresse oder einer Telefonnummer. In den einzelnen Registrierungsschritten hat der Nutzer sodann neben seiner E-Mail-Adresse bzw. Telefonnummer mindestens seinen Namen und sein Geburtsdatum anzugeben. Außerdem legt der Benutzer innerhalb des Registrierungsvorgangs für seinen Twitter-Account einen Nutzernamen und einen Anzeigenamen fest. Der Nutzername (auch Handle genannt) beginnt mit dem Symbol @. Anhand dieses Nutzernamens können andere Nutzer nach dem Account suchen. Der Anzeigename (auch bezeichnet als Name) ist dagegen eine persönliche Kennung auf dem Twitter-Dienst. Es kann sich bei dem Anzeigenamen um einen Firmennamen oder einen echten Namen handeln, aber auch z.B. um ein Wortspiel oder ein Anonymus. Er wird neben dem Nutzernamen angezeigt. Innerhalb des Registrierungsvorgangs muss der Nutzer außerdem den geltenden Twitter Allgemeine Geschäftsbedingungen (Allgemeine Geschäftsbedingungen bzw. Bedingungen), Twitters Datenschutzrichtlinie (Datenschutzrichtlinie) und der Nutzung von Cookies zustimmen. Die Nutzer können verschiedene Anpassungen hinsichtlich ihrer Auffindbarkeit für andere Nutzer vornehmen. Sofern ein Nutzer eingeloggt ist, findet er unter den Einstellungen für Datenschutz und Sicherheit im Abschnitt Auffindbarkeit die Auswahlmöglichkeit „Personen, die deine E-Mail-Adresse haben, erlauben, dich auf Twitter zu finden“. Das gleiche gilt für die Auffindbarkeit anhand der Telefonnummer. Die Auffindbarkeit über die E-Mail-Adresse bzw. Telefonnummer für die in Deutschland lebenden Nutzer ist grundsätzlich standardmäßig deaktiviert und muss, wenn er dies möchte, durch den entsprechenden Nutzer selbst in den Einstellungen aktiviert werden. Der Kläger hat an dieser Standardeinstellung keine Veränderungen vorgenommen. Bei der Beklagten bestand im Juni 2021 für kurze Zeit ein – von der Klagepartei so bezeichnetes – Datenleck bzw. – von der Beklagten so bezeichnet – ein API-Bug. Dieses / Dieser bestand darin, dass es nach einem Update für eine bestimmte Zeit über eine nicht durch Sicherheitsmaßnahmen eingeschränkte API-Schnittstelle Dritten, die sich bereits im Besitz der E-Mail-Adresse oder Telefonnummer eines Nutzers befanden, möglich war, mittels Eingabe dieser Daten die Twitter-ID ebenjenes Nutzers zu erhalten und dann mit der schon vorhandenen E-Mailadresse / Telefonnummer zu verknüpfen. Ebenso war dies einem Dritten möglich, wenn willkürlich E-Mail-Adressen und Handynummern – beispielsweise bezogen auf Handynummer mit Rufnummernaufzählung - durchprobiert wurden. Ergab der dann nachfolgende Abgleich zwischen den eingespeisten Daten und der bei Twitter vorhandenen Nutzer-Datenbank über die API-Schnittstelle einen Treffer, wurde die Twitter-ID des Nutzers übermittelt und dem Dritten bekannt gegeben. Aufgrund der vorübergehenden Programmierung der API-Schnittstelle war es möglich, mithilfe der E-Mail-Adresse oder Telefonnummer die Nutzer auch dann aufzufinden, wenn dies – wie bei der Klagepartei – aufgrund der standardisierten Einstellungen hätte ausgeschlossen sein sollen. Mit Hilfe der so erlangten Twitter-ID konnten kriminelle Akteure im Wege des Daten-Scrapings die im Account hinterlegten öffentlich zugänglichen Stammdaten des jeweiligen Nutzers visualisieren und abgreifen und die in Summe abgegriffenen Daten in einen einheitlichen Datensatz konvertieren. Welche Datenpunkte in dem so zusammengestellten Datensatz enthalten waren, war dabei jeweils davon abhängig, wie viele Daten der Nutzer in seinem Twitter Profil angegeben hat. Grundsätzlich konnten es sein: E-Mail-Adresse, Telefonnummer, Twitter-ID, Namen des Nutzers (wenn im Profil eingegeben), Accountnamen des Nutzers (wenn im Profil eingegeben), Verifizierungsstatus des Nutzers (wenn im Profil eingegeben), Wohnort des Nutzers (wenn im Profil eingegeben), Anzahl der Freunde des Twitter Nutzers (wenn im Profil eingegeben), Favoritenlisten des Nutzers (wenn im Profil eingegeben), URLs zu dem Profilbild des Nutzers (wenn im Profil eingegeben), Geburtstag des Nutzers (wenn im Profil eingegeben). Im Juni 2022 wurde, weil die abgegriffenen Daten in einem bekannten Hacker-Forum zum Download angeboten wurden, bekannt, dass unbefugte Dritte in einer Vielzahl von Fällen den API-Bug dazu genutzt hatten, Twitter-ID von Nutzern in Erfahrung zu bringen, mit der eingegebenen Handynummer oder E-Mail-Adresse zu verknüpfen und dann im Profil als öffentlich eingestellte Daten abzurufen. In einer allgemeinen Pressemitteilung vom 05.08.2022 führte die Beklagte dazu folgendes aus: Wir möchten Sie über eine Schwachstelle informieren, die es jemandem ermöglichte, eine Telefonnummer oder E-Mail-Adresse in den Anmeldeablauf einzugeben, um herauszufinden, ob diese Informationen mit einem bestehenden Twitter-Konto verknüpft waren, und wenn ja, mit welchem spezifischen Konto. Wir nehmen unsere Verantwortung zum Schutz Ihrer Privatsphäre sehr ernst und es ist bedauerlich, dass dies geschehen ist. Dieser Fehler resultierte aus einer Aktualisierung unseres Codes im Juni 2021. Als wir davon erfuhren, haben wir ihn sofort untersucht und behoben. Die Klägerseite war zum Zeitpunkt des Datenlecks (Juni 2021) unstreitig auf dieser Plattform Twitter mit der E-Mail-Adresse ZZZZ angemeldet und nutzte diese in dem vorbenannten Umfang. Seine Handynummer hatte der Kläger dort hingegen nicht hinterlegt. Ob von ihm relevante Daten beim streitgegenständlichen Vorfall abgegriffen und neu verknüpft wurden, ist zwischen den Parteien streitig. Vorgerichtlich forderte die Klagepartei mit Anwaltsschriftsatz vom 14.7.23 zur Auskunftserteilung, Abgabe einer Unterlassungserklärung, Zahlung von mindestens 3.000,- € Schmerzensgeld, Abgabe einer Verpflichtungserklärung bezüglich möglicher künftiger Schäden und Erstattung vorgerichtlicher Rechtsanwaltskosten auf. Im Einzelnen wird auf Anlage K7 verwiesen. Die Beklagte beantwortete dies mit Anwaltsschriftsatz vom 1.8.2023 dahingehend, dass Twitter International Behauptungen zurückweise, wonach 400 Millionen mit Twitter verknüpfte E-Mail-Adressen und Telefonnummern von Nutzern durch dieselbe Sicherheitslücke, die im Januar 2022 entdeckt worden sei, erlangt worden seien. Vielmehr sei das Vorfall-Reaktionsteam und das Team für Privatsphäre und Datenschutz von Twitter International nach einer umfassenden Untersuchung zu dem Schluss gekommen, dass es keine Beweise dafür gebe, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von Twitter International erlangt worden seien. Im Einzelnen wird auf Anlage K7a verwiesen. Die Klagepartei ist der Ansicht, die Beklagte habe Vorschriften der DSGVO verletzt. Sie behauptet unter Verweis auf eine Positivmeldung auf der Webseite „haveibeenpawned.com“ (vollständig wiedergegeben in Anlage B10), dass auch sie vom streitgegenständlichen API-Bug betroffen sei, d.h. persönliche Daten von ihr an Dritte übermittelt worden seien. Die Beklagte habe gegen mehrere Vorgaben der DSGVO verstoßen. Insbesondere habe sie personenbezogene Daten ohne Rechtsgrundlage (unbefugten) Dritten zugänglich gemacht, personenbezogene Daten ohne die Gewährleistung (ausreichender) Sicherheit nach Art. 32 DSGVO verarbeitet, die zuständige Aufsichtsbehörde sowie auch die betroffene Klägerseite nicht nach Art. 33, 34 13 DSGVO über die Datenschutzverletzungen informiert und das Auskunftsrecht der Klägerseite nach Art. 15 DSGVO verletzt. Im Einzelnen wird insoweit auf die Ausführungen in der Klageschrift und Replik verwiesen. Die Klagepartei behauptet, die Veröffentlichung ihrer Daten habe weitreichende Folgen für sie. Insbesondere werde sie durch Spam-Nachrichten via E-Mail belästigt. Sie habe außerdem einen erheblichen Kontrollverlust über ihre Daten erlitten, welcher großes Unwohlsein und große Sorge über einen möglichen Missbrauch der sie betreffenden Daten ausgelöst habe. Sie habe ein verstärktes Misstrauen bezüglich E-Mails und Online-Dienstleistungen entwickelt. Sie könne nur noch mit äußerster Vorsicht auf E-Mails und Nachrichten reagieren. Es könne zudem zum jetzigen Zeitpunkt noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten der klagenden Partei erhalten hätten und für welche konkreten kriminellen Zwecke die Daten missbraucht würden. Folgen von Datenschutzverletzungen würden sich ihrem Wesen nach erst spät zeigen und lange unerkannt bleiben. Es erscheine auf Grund der Veröffentlichung der E-Mail-Adresse möglich, dass die Klagepartei durch eine Vielzahl betrügerischer Kontaktaufnahmen belästigt oder gefährdet werde. Die Beklagte habe ihre Auskunftsverpflichtung nicht erfüllt und weder die Klägerseite noch die Aufsichtsbehörde in ausreichendem Maße und rechtzeitig über die Verarbeitung sie betreffender personenbezogener Daten informiert bzw. aufgeklärt. Die der Klägerseite entstandenen Rechtsanwaltskosten belaufen sich auf 1.305,43 EUR und seien von der Beklagten zu ersetzen. Die Klagepartei beantragt: 1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Ermittlung der Handynummer bzw. Mailadresse der Klägerseite sowie weiterer personenbezogener Daten der Klägerseite wie Vorname, Nachname, E-Mail-Adresse, Geschlecht, Geburtsdatum einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 3.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB, seit Ablauf der mit Anspruchsschreiben vom 14.07.2023 gesetzten Frist am 25.07.2023, zu zahlen. 2. Die Beklagte wird verurteilt, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von € 2.000,00 aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB zu zahlen. 3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2021 erfolgte, entstanden sind und/oder noch entstehen werden. 4. Die Beklagte wird verurteilt, für jeden Fall der Zuwiderhandlung ein vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerseite, namentlich Telefonnummer und Mailadresse sowie die Twitter-ID Dritten über eine API-Schnittstelle zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen. 5. Die Beklagte wird verurteilt, dem Kläger Auskunft über die personenbezogenen Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch die Nutzung der API-Schnittstelle erlangt werden konnten. 6. Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von € 1.305,43 nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizustellen. Die Beklagte beantragt Klageabweisung. Die Beklagte ist der Ansicht, dass dem Feststellungsantrag bereits das Feststellungsinteresse fehle, weil ein zukünftiger Schaden nicht überwiegend wahrscheinlich sei. Sie bestreitet, dass die Klagepartei von dem streitgegenständlichen API-Bug 2021 betroffen sei. Eine interne Überprüfung durch Twitter habe vielmehr ergeben, dass der Account der Klagepartei nicht zu denjenigen Twitter-Accounts gehöre, die von dem API-Bug im Jahr 2021 betroffen waren (Vortrag AS 63, 67 ff., 132 f.). Darüber hinaus liege kein Verstoß gegen Art. 33, 34 DSGVO vor. Die Beklagte habe die DPC als zuständige datenschutzrechtliche Aufsichtsbehörde unmittelbar nach Kenntniserlangung des API-Bug am 8.1.2022 und dann fortlaufend informiert, ebenso die von dem API-Bug betroffenen Nutzer mit teilweise in englischer, teilweise in deutscher Sprache abgefassten Informationen, bezüglich der auf die Anlagen B 10 bis B 13 verwiesen wird. Mangels Betroffenheit der Klagepartei sei dieser gegenüber auch keine Auskunftspflicht nach Art. 15 DSGVO verletzt worden, jedenfalls habe die Beklagte mit ihrem vorgerichtlichen Schreiben Anlage K 7a der Auskunftspflicht genügt. Zur Beantwortung von Fragen betreffend die Verarbeitungstätigkeiten Dritter sei die Beklagte weder imstande noch nach Art. 15 DSGVO rechtlich verpflichtet. Ein vermeintlicher Verstoß gegen Art. 15 DSGVO könne außerdem keinen Schadensersatzanspruch nach Art. 82 DSGVO begründen. Der Klagepartei stünden auch der geltend gemachte Unterlassungsanspruch nicht zu. Schließlich bestreitet die Beklagtenpartei die von der Klagepartei behaupteten Beeinträchtigungen. Die Klagepartei habe keinen ersatzfähigen Schaden erlitten. Ihr Vortrag hierzu sei pauschal und unsubstantiiert. Außerdem sei die Kausalität des API-Bugs der Beklagten für den behaupteten Schaden nicht bewiesen, nachdem ausweislich der Auskunft Anlage B 10 die Klagepartei von mehreren Datenvorfällen bei verschiedenen sozialen Netzwerken betroffen sei. Wegen der Einzelheiten des Parteivorbringens wird auf die vorbereitenden Schriftsätze nebst Anlagen sowie das Protokoll zur mündlichen Verhandlung Bezug genommen. Das Gericht hat die Klagepartei persönlich angehört; auf das Protokoll der mündlichen Verhandlung wird verwiesen.